Schon wenn Cyberkriminelle wissen, welche Webseiten Nutzer besuchen, können sie dies für ihre Zwecke ausnutzen. Spätestens in kritischen Geschäftsfeldern wie beispielsweise Investitionen oder Innovationen, können so essenzielle Wissensvorsprünge ausspioniert werden. Der wirtschaftliche Schaden solcher Attacken ist enorm.
DNS Endpoint Kommunikation, das heißt die Kommunikation mit einem Endgerät unter Verwendung von Namensauflösung und IP Adresse, ist dabei standardmäßig nicht verschlüsselt - das unterstützt das klassische DNS-System nicht. Damit entwickelte sich hier ein beliebtes Einfallstor für Kriminelle.
Damit soll nun Schluss sein
Aus diesem Grund setzt auch Firefox jetzt auf einen neuen Standard: DNS over HTTPS (DoH). Genauso wie DNS over TLS (DoT) soll dieses Protokoll das sogenannte „last mile“ Problem der Endpoint Kommunikation lösen. Beide Konzepte erlauben dem Nutzer DNS-Traffic durch Verbindungen zu leiten, die verschlüsselt Datenpakete übertragen können, wodurch die DNS Kommunikation nicht mehr Spoofing, Datendiebstahl oder ähnlichen Angriffen ausgesetzt ist.
Was schön klingt, bringt aber vor allem für Unternehmensnetzwerke und deren Betreuer eine neue Herausforderung mit sich: Beide Protokolle können durch die Verschlüsselung dafür genutzt werden, die firmeneigene DNS-Infrastruktur und ihre Sicherheitssysteme zu umgehen.
Da aber ein Großteil der Malware- (über 90%) und Ransomware-Angriffe (über 50%) die DNS-Infrastruktur nutzt, bleiben diese natürlich unentdeckt, wenn sie verschlüsselt an der internen DNS Security vorbeigeschleust werden.
Neben diesem immensen Sicherheitsrisiko können DoH und DoT auch zusätzlich für schlechtere User Experience verantwortlich sein. Denn die großen Traffic-Mengen, die durch diese Protokolle anfallen, verlangsamen unter Umständen die Browser im kompletten Netzwerk.
Wie können sich Unternehmen schützen, wenn DoH und DoT zum neuen Standard der Browser wird?
Infoblox empfiehlt allen Unternehmen, Traffic zwischen internen IP-Adressen und externen DNS-Servern zu unterbinden. Auf diese Weise nutzen die User nur die eigene, abgesicherte DNS Infrastruktur. Natürlich darf man die Kommunikation nicht einfach abschalten – das würde ebenfalls zu Frust bei den Nutzern führen.
Daher sollte man immer eine Lösung verwenden, die den Traffic auf die interne DNS umleitet, Wissen über DoH IPs sammelt und Domains, die in Verbindung mit DoH stehen, genau überprüft. So können Unternehmen gleichzeitig die Sicherheit aufrechterhalten, ohne die User Experience zu stören.